Все технические компоненты, используемые в облачных решениях, взяты из арсенала ИТ: технологии виртуализации, распределенные сети Grid Computing, Web 2.0, широкополосные соединения с Интернетом. Да и системы управления для средств мониторинга и обеспечения безопасности были изобретены не провайдерами облачных сервисов. Тенденция перехода к облачным предложениям лишь ускорила процесс «технологического созревания» этих компонентов. При реализации управления рисками следует ориентироваться на лучшие практические методы.
Впервые за всю непродолжительную историю развития отрасли ИТ стали появляться предложения, где предпринята попытка охватить и реализовать всю палитру требований, возникающих в бизнес-среде. Вместо «выгодных предложений по автоматизации» формируются модели деловых отношений, открывающие перед предприятиями совершенно новые пути реализации их возможностей и устранения рисков — независимо от используемых для этого технологий.
Рисунок 1. Многочисленные нормативы, инструкции и директивы помогают добиваться лучшего взаимодействия с провайдерами облачных сервисов. |
Возможность для провайдеров объединить зрелые технологии с новыми моделями деловых отношений и на их основе сформировать современные сервисы, чтобы успешно предоставлять их своим клиентам, обуславливается двумя параллельными тенденциями развития. С одной стороны, устаревшие модели предоставления ресурсов, такие как аутсорсинг, уже не привлекают ни клиентов, ни провайдеров. Так, к примеру, предлагаемые клиентам аутсорсинговые модели с объемными договорами оказываются негибкими, практически немасштабируемыми и трудными в управлении. С другой стороны, большинство сервиспровайдеров и их клиентов вместе прошли этап постоянного улучшения бизнесмоделей и сервисных отношений — все это с опорой на широкое признание и распространение систем лучших методов, таких как ITIL, COBIT, а также ISO 20000 и 27000 (см. Рисунок 1).
Внутренним ИТ (то есть ИТ-системам, оставшимся на самом предприятии) не только необходимо заново определить свою роль в бизнеспроцессах. Главный вопрос заключается в том, какие задачи и функции они должны выполнять в будущем. К основным обязанностям ИТ-подразделений станут относиться не технические вопросы, а задачи по стратегическому управлению (Governance): управление закупками, архитектурой, сервисами и процессами, проектами и переходными процессами (Transition), качеством, рисками, соответствием отраслевым требованиям и законодательным предписаниям (Compliance).
Роль традиционных бизнес-аналитиков также претерпит изменения: предлагаемые стандартизованные сервисы для стандартизованных деловых процессов подразумевают скорее консультационную поддержку, нежели помощь при их реализации. Составление стратегии повышения квалификации персонала и привлечения сторонних ресурсов станет задачей клиентов облачных решений. Не следует забывать, что далеко не все работающие на предприятиях специалисты по технологиям Microsoft, системам хранения или SAP смогут или захотят переучиваться на специалистов по обеспечению процессов и соответствию требованиям и предписаниям.
ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ — ЭТО БИЗНЕС-РЕШЕНИЕ
Решения по привлечению услуг представляют собой бизнес-решения в рамках общей стратегии управления предприятием — по крайней мере, в теории. Но на практике ответственным лицам периодически приходится сталкиваться с необходимостью привлечения услуг и ресурсов, не включенных ни в общую корпоративную стратегию предприятия, ни в концепцию стратегического управления. Принятие скоропалительных мер при решении внутренних проблем, финансовое давление или недостаточное взаимопонимание между бизнесом и ИТ порой приводят к опрометчивым решениям, которые не позволяют реализовать на практике все важные для организации планы с помощью одного партнера по предоставлению услуг.
Преимуществам и возможностям облачных вычислений противостоят сопряженные с ними риски (см. Таблицу 1). Предприятия должны иметь представление не только об угрозах, связанных с привлечением сторонних услуг и ресурсов, но и о рисках, свойственных именно облачным сервисам.
Таблица 1. У малых и средних предприятий основные опасения в отношении облачных вычислений возникают в связи с защитой информации, а также с целостностью сервисов и данных. |
Доступ привилегированных пользователей. Администрированием конфиденциальных бизнес-данных занимаются сторонние лица. С переходом на облачные сервисы традиционные внутрикорпоративные меры по обеспечению защиты информации, такие как физический, логический и персональный контроль, утрачивают свою актуальность. Необходимый уровень защиты должен определяться, воплощаться и контролироваться на стороне сервис-провайдера.
Соответствие отраслевым требованиям и законодательным предписаниям. Каждое предприятие несет ответственность за защиту и целостность своих данных. Процесс администрирования данных должен быть доступен для аудита и по возможности подтверждаться сертификатами, что крайне необходимо для таких направлений деятельности, как финансы, биологические науки и общественный сектор, где конфиденциальности придается особое значение. Клиентам облачных сервисов следует обговорить с провайдерами возможность проведения проверок и запросить у них соответствующие сертификаты.
Хранение данных. Выбор места хранения данных в облаке не играет особой роли с технической точки зрения, но оказывается важным в качестве юридического аспекта, а также для обеспечения соответствия отраслевым требованиям и законодательным предписаниям.
Разделение данных. Как правило, данные в облаке сохраняются с помощью инфраструктурных компонентов, на которых одновременно может находиться информация других предприятий. Для надежной изоляции различных данных провайдеры облачных услуг используют методы шифрования, однако шифрование приводит к возникновению дополнительных рисков в отношении доступности данных и их восстановления после сбоев.
Восстановление данных. В каждый договор на оказание облачных услуг должны включаться пункты, где оговариваются вопросы восстановления данных в случае серьезных сбоев. Однако даже если это условие соблюдено, нет полной гарантии, что в результате непредвиденных ситуаций предприятие не лишится каких-либо важных данных.
Отслеживание. Противозаконные, несанкционированные и случайные манипуляции с данными в облачной среде очень сложно отследить, поскольку они могут распределяться по различным площадкам и средам.
Рыночные риски. Рынок провайдеров облачных сервисов будет стремительно расти. Число компаний, специализирующихся на предоставлении таких услуг, постоянно увеличивается. Спустя какое-то время после бурного роста начнутся процессы «очищения» рынка и консолидации его участников. Предприятия должны обеспечить защиту своих критически важных данных на случай смены владельца или банкротства сервис-провайдера.
Обязанность по оценке возможностей и рисков облачных предложений всегда возлагается на бизнес (см. Таблицу 2), в идеале — с опорой на стандарты корпоративного управления (Corporate Governance Framework). Если способности к собственному внутрикорпоративному стратегическому управлению выражены слишком слабо, то, прежде чем сделать первый шаг в сторону облаков, часть суммы от финансовой выгоды, которая, как ожидается, будет получена в результате внедрения облачной концепции, рекомендуется инвестировать в развитие системы стратегического управления.
Таблица 2. Пример оценки рисков при соответствии нормативам PCI и SOX. |
РОЛЬ ВНУТРЕННИХ ИТ
При обсуждении вопросов реализации задач бизнеса в рамках облачных вычислений каждая внутрикорпоративная ИТ-структура может сделать ставку на свои сильные стороны. Традиционно консультации о влиянии и рисках, свойственных решениям с привлечением сторонних услуг, касаются прежде всего архитектуры управления данными и лежащих в ее основе технологий, безопасности ИТ, предоставления управляющей информации о производительности сервисов, а также технических предпосылок для подключения к облакам на стороне предприятия. Специалисты ИТ должны помогать и при выборе подходящего типа облака (публичного, частного или гибридного), и при заключении соглашений об уровне сервиса (Service Level Agreement, SLA), позволяющих управлять услугами.
Превентивно ИТ-подразделение может предложить ключевые элементы стратегического управления при реализации полного жизненного цикла концепции по привлечению услуг и ресурсов: от разработки самой стратегии до выбора провайдера, а также передачи сервиса и поддержания его работы — прежде всего на тех предприятиях, где внутренние структуры стратегического управления бизнесом развиты слабо. Предпосылкой для этого является наличие знаний о соответствующих системах стратегического управления и опыт их применения в конкретных ситуациях.
За последние годы отношения между клиентами и сервис-провайдерами перешли на новый качественный уровень, в том числе благодаря принятию и распространению ИТ-стандартов (Framework) на всех этапах жизненного цикла сервиса. Эти стандарты и в дальнейшем будут формировать базу для успешного делового взаимодействия. Помимо общепринятых моделей администрирования ИТ-сервисов существуют специальные методы и инструменты стратегического управления, весьма полезные в общих вопросах привлечения сторонних услуг. Еще более специфическими являются разрабатываемые методы, директивы и сборники лучших практических решений, напрямую нацеленные на облачные сервисы. Все специальные и общие своды правил и рекомендации для облачных вычислений и привлечения услуг выводятся из стандартных моделей. Они представляют собой, так сказать, более детализированный арсенал методик взаимодействия.
СВОДЫ ЛУЧШИХ ПРАКТИЧЕСКИХ МЕТОДОВ
В этой связи важны следующие стандартные своды для стратегического управления ИТ и библиотеки лучших практических методов:
COBIT (Control Objectives for Information and Related Technology) является признанным во всем мире сводом спецификаций для стратегического управления ИТ, который может использоваться и при составлении концепции стратегического управления для привлечения внешних ресурсов.
ITILv3 — это свод лучших практических методов со своей концепцией жизненного цикла сервиса. Он оказывается весьма полезным в рамках вышеупомянутого жизненного цикла при привлечении внешних услуг. Книга «Стратегия услуг» (Service Strategy) помогает при разработке стратегии привлечения сторонних услуг, книга «Проектирование услуг» (Service Design) — при выборе, а «Преобразование услуг» (Service Transition) и «Эксплуатация услуг» (Service Operation) — при реализации партнерства.
Интернет-ресурсы
COBIT:
http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx
ITILv3:
http://www.itil-officialsite.com
ISO 20000, ISO 27000:
eSourcing Capability Model:
ISACA:
ENISA:
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computinginformationassuranceframework
http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment
Cloud Security Alliance:
https://cloudsecurityalliance.org/csaguide.pdf
Eurocloud Deutschland:
http://www.eurocloud.de/2010/12/02/eurocloud-leitfaden-rechtdatenschutz-compliance
НОРМАТИВЫ ISO
ISO 20000. Задача ISO/IEC 20000 — формирование общего стандарта для всех предприятий, предоставляющих сервисы ИТ внутренним или внешним клиентам. Еще одна цель — введение единой терминологии, что во многом способствует взаимопониманию между сервис-провайдерами, поставщиками и клиентами. Большинство потенциальных провайдеров услуг уже прошли сертификацию или по крайней мере готовы к этому процессу. Стремление к соблюдению стандарта ISO 20000 и тем более наличие соответствующего сертификата позволит предприятию действовать наравне с сервис-провайдером.
ISO 27000. Этот стандарт для систем управления информационной безопасностью определяет требования к производству, внедрению, эксплуатации, контролю, техническому обслуживанию и улучшению документированных систем управления информационной безопасностью с учетом рисков внутри всей организации, причем во внимание принимаются всевозможные типы организаций (торговые предприятия, государственные учреждения, некоммерческие организации и т. д.). Этот норматив служит основой для любой оценки рисков при рассмотрении вопроса о возможности использования внешних услуг.
К уже перечисленным следует добавить общие правила для концепций привлечения внешних услуг. Прежде всего следует упомянуть модель eSourcing Capability Model. eSourcing Capability Model for Service Providers (ESCM-SP) представляет собой свод рекомендаций для сервис-провайдеров по развитию их возможностей по управлению услугами ИТ (IT Service Management, ITSM) при предоставлении клиентам услуг и ресурсов. Модель ESCM-SP была разработана американским университетом Carnegie Mellon University. В свою очередь, eSourcing Capability Model for Client Organizations — это свод правил для анализа и принятия решений при разработке стратегий и моделей привлечения внешних услуг и ресурсов. Это дополнение к модели ESCM-SP может служить в качестве инструмента для оценки технологической зрелости предприятия, намеревающегося воспользоваться услугами внешних поставщиков.
СПЕЦИФИЧЕСКИЕ НОРМАТИВЫ ДЛЯ ОБЛАКОВ
Не так давно на рынке появились специфические нормативы, директивы и инструменты, предназначенные для облачных вычислений. Программа ISACA Cloud Computing Management Audit/Assurance Program предоставляет инструменты и шаблоны для реализации стратегии по внедрению облачных вычислений на основе предварительно заданных директив по обеспечению качества и следованию нормативным документам и предписаниям. В процессе анализа рисков, при оценке и реализации облачных решений очень полезными оказываются такие своды правил, как ENISA Cloud Computing Information Assurance Framework и ENISA Cloud Computing Risk Assessment, а также рекомендации «Security Guidance for Critical Areas of Focus in Cloud Computing V2.1’’ и ‘‘Cloud Controls Matrix’’, предложенные Cloud Security Alliance. Инструкция «Право, защита данных и соблюдение предписаний» (‘‘Recht, Datenschutz & Compliance’’), выпущенная Eurocloud Deutschland/Eco e.V., содержит свод правил, которые помогут поставщикам услуг и пользователям правильно сформулировать договор на оказание услуг и выбрать подходящего провайдера.
Бен Мартин — главный консультант в компании Glenfis.